Viren - kuettner.it

Der DNS-Charger Trojaner und der Hype im Radio

totenkopfkämpfer Momentan geistert durch die Radiostationen eine Warnung vor dem DNS-Changer Trojaner. So wird davon gesprochen, dass allein in Deutschland täglich 33.000 neu infizierte Rechner hinzukommen. Der SuperGAU soll nun am 8. März auf die Infizierten zu kommen. Wie schon so oft, erscheint mir die reißerische Meldung nicht gut recherchiert.

Hintergrund ist: Bei Razzien in Amerika im letzten November wurden durch das FBI eine Anzahl von Bot-Netz-Servern (Botnet bei wikipedia) beschlagnahmt. Anstelle der Originalserver traten “Regierungsrechner” die die infizierten Rechner (auch als Drohnen oder Zombies bezeichnet) mit korrekten DNS Informationen versorgen und registrieren, ansonsten aber keine Schadroutinen laufen ließen. Nun sollen diese Server zum 8. März abgeschalten werden, dann werden die Anfragen der infizierten Rechner nicht mehr beantwortet. Deren Anfragen gehen dann ins Leere und Sie kommen, da sie die Nameserver Funktionen nicht mehr korrekt abarbeiten, nicht mehr ins Internet.

Nach “”BSI empfiehlt Überprüfung von PCs auf Schadsoftware DNS-Changer” greifen aus Deutschland täglich ca. 33.000 Computer auf die Server zu. Das sind aufgrund der Struktur eines Bot Netzes aber nicht nur die neu infizierten Computer sondern alle infizierten Rechner. Insofern ist also von ca. 33.000 infizierten Rechner in Deutschland auszugehen!

Über die gemeinsam vom BSI, dem Bundeskriminalamt und der Deutschen Telekom betriebene Internetseite www.dns-ok.de können Sie Ihren Rechner schnell überprüfen, indem Sie die Webseite ansurfen.

Ist Ihr System mit dem Trojaner verseucht, so erscheint auf der Seite eine Warnmeldung sowie Empfehlungen, wie der Trojaner entfernt und die korrekten Systemeinstellungen wieder hergestellt werden können.

So sieht die Webseite aus wenn alles OK ist. Cooles Smiley

dnstrojaner1

Gehen Sie sicher und surfen Sie die Seite www.dns-ok.de an. Ich wünsche Ihnen eine trojanerfreie Zeit.

12. Januar 2012

Netter Versuch

Heute erhielt ich eine lustige Mail, scheinbar vom “New York State — Department of Motor Vehicles”. Ich soll am 05.07.2011 eine Geschwindigkeitsübertretung in einer 55er Zone begangen haben?

Angehängt ist eine Textdatei mit dem Namen “Ticket-064–211.txt”. Offensichtlich ist den Ehrenwerten Menschen, die diese SPAM-Mail beauftragt haben, ein winziger Fehler unterlaufen, denn es sollte definitiv keine Textdatei angehängt werden. In der vermeintlichen Textdatei befindet sich ausführbarer Code, sie hätte also “Ticket-064–211.txt.exe” heißen müssen. So jedenfalls ist die Datei relativ ungefährlich.

Ich habe sie in “Ticket-064–211.txt.exe” umbenannt und mal geschaut, ob meine Microsoft Security Essentials etwas dazu wissen. Die Datei wird zweifelsfrei als Bedrohung erkannt und blockiert. Hier TrojanDownloader:Win32/Chepvil.N genannt. Wer nachlesen möchte, findet bei Microsoft entsprechende Informationen.

Der Virus lädt Code nach, den er in das %temp% Verzeichnis ablegt und von dort ausführt, also Vorsicht!

Sollten Sie eine ähnliche Mail bekommen, dann lehnen Sie sich zurück, auch wenn Sie zum fraglichen Zeitpunkt in New York gewesen sein sollten. Die dortige Polizei verschickt sicher keine Strafzettel per eMail.

Löschen Sie die Mail mit ruhigem Gewissen.

Mein Tipps gegen solche Bedrohungen:

Arbeiten und Surfen Sie niemals als Administrator, sondern immer nur als normaler Benutzer, sollten Sie Admin-Rechte benötigen, so starten Sie die Applikation mit der rechten Maustaste und klicken dann auf “als Administrator ausführen”.
Deaktivieren Sie das “Erweiterungen von bekannten Dateitypen ausblenden”.
Öffnen Sie Dateianhänge von Mails mit unbekannten Absendern oder in fremdländischen Sprachen mit Vorsicht.

In diesen Sinne wünsche ich all meinen Leser einen schönen und virenfreien Tag.

17. August 2011

Der Wurm “System Tool 2011” Teil 3 – Aus dem Administratoren Account entfernen

System Tool 2011 Teil 3

Obwohl ein mit dem “System Tool 2011” verseuchtes Administratorenkontos nicht vorkommen dürfte, denn wer ist schon so unvernünftig und surft mit herunter gelassener Hose, werde ich regelmäßig eines anderen belehrt.

Es ist einfach bequem und es kann ja nichts passieren, denn man hat ja einen Virenwächter. Meist ist einer der kostenlosen Gesellen oder einer der Marke “lobe mich, ich habe einen ungefährlichen Virus gefunden” installiert. Man wähnt sich sicher

Sie finden in diesem Post ein wenig “Grundlagenforschung” und die Vorgehensweise um den Schädling aus dem Administratorenkonto zu entfernen. Ich habe das Ver-Wurmen mehrmals an einen virtuellen System ausprobiert. Die Version 2011 sollte wie später beschrieben entfernbar sein.

Folgende Hilfsmittel setze ich ein, wobei die ausführbaren Dateien zumindest des SysInternals Process Explorers vorsorglich in “iexplore.exe” umbenannt wurden. Nähere Informationen finden Sie in Der Wurm “System Tool 2011” Teil 2 – Aus einem Benutzer Account entfernen:

Den SysInternals Process Explorer,
SysInternals AutoRuns,
SysInternals TCPIP View und den
GridinSoft Trojan Killer (enttäuschte ).

Infizieren des Opfersystems

Ich verwende ein virtuelles Windows XP das mit dem “System Tool 2011” Wurm “geimpft” wird. Benutzt wird der Account “System Tool 2011”, er ist Mitglied in der Gruppe Administratoren. Der Computer hat den Namen “OpferPC” und gehört zur Arbeitsgruppe “Opfer”.

Nach dem Start der Virusdatei generiert diese eine neue Kopie von sich selbst mit einem zufälligen Namen, hier “b0eEl01804.exe” und legt diese im Unterverzeichnis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” ab und löscht sich nach dem Start der neuen Datei. Sowohl der Name, als auch der Pfad ist zufällig und scheint nicht wiederholt vorzukommen. Dieses Verhalten zeigt der Wurm “System Tool 2011” auch in einen normalen Benutzer Account.

Darüber hinaus erzeugt der Wurm eine weitere Datei mit zufälligem Namen, hier “w32topll.exe” im Verzeichnis “C:\Windows\system32\”. Diese Datei hat die Attribute “Schreibgeschützt” und “Versteckt”. Dieses Verhalten zeigt der Wurm nur in einem Administratoren-Konto. Im weiteren werde ich die Datei Trojaner nennen.

Erstaunlicherweise erzeugt der Trojaner, hier “w32topll.exe”, eine recht hohe Systemlast und behält diese auch über einen längeren Zeitraum hinweg bei. Hier können Sie ggf. auf Ihrem System eingreifen, wenn ein Programm ausgeführt wird, das Sie nicht gestartet haben und das eine relativ hohe Systemlast erzeugt.

Weitere zufällige Programmnamen wurden wie folgt gewählt, der Speicherort war immer einheitlich:

w32topll.exe
netshelk.exe
normnfdp.exe
tslabels3.exe
msfeedsc.exe

Das “System Tools 2011”, hier “b0eEl01804.exe”, nahm während des Infektionsprozesses Kontakt mit mehreren Servern auf. Bspw. mit der IP Adresse 91.193.194.40. Der Server befindet sich laut Scan in der Nähe der Hafenstadt Odessa. Das bedeutet aber nicht, dass die ehrenwerten Menschen, die hinter “System Tool 2011” stehen nun aus der Ukraine stammen müssen, sondern nur, dass dort ein von Ihnen verwendeter Server steht.

Lokalisieren können Sie die Server über die Webseite IPInfoDB.com. Mit folgenden drei Server wurde Kontakt aufgenommen:

91.193.194.40 “ohne Namen” in der Nähe von Odessa,
85.17.45.66, “hosted-by.leaseweb.com” in der Nähe von Amsterdam und
95.211.8.196, “hosted-by.leaseweb.com” ebenfalls nahe Amsterdam.

Ein Scan mit den Microsoft Security Essentials v2.x ergibt für den Trojaner folgende Information (Link):

TrojanDownloader:Win32/Ponmocup.A ist ein Trojaner, der heimlich Schadcode aus dem Internet nachlädt und ggf. weitere Schadsoftware installiert. Der Trojaner erzeugt/ändert ggf. die folgenden Dateien auf einem infizierten System:

%windir%\temp\scse.tmp

%windir%\temp\scsf.tmp

c:\documents and settings\administratorxplore.exe

verändert die Datei <system folder>\drivers\etc\hosts¹

¹<system folder> verweist in einem Windows 2000/NT auf den Pfad “C:\Winnt\System32” und auf einem Windows XP/Vista/Sieben Rechner auf den Pfad “C:\Windows\System32”.

Auf meinem System hat der “System Tool 2011” bzw. der Trojaner nur in der host-Datei die rot umrandeten Einträge vorgenommen. Er biegt damit bei Aufruf der Rechneradressen diesen Aufruf auf das lokale System um. Man sollte die hinzugefügten Einträge löschen. Der Eintrag von localhost wird standardmäßig von Windows bei der Installation erzeugt und sollte nicht gelöscht werden.

Die o.g. 3 Dateien (scse.tmp, scsf.tmp und administratorxplore.exe) habe ich nicht gefunden.

Nachdem sich der Wurm auf dem System installiert hat, zeigt er Viren-Meldungen und unterbindet die Ausführung nahezu aller Programme außer dem Datei- und dem Internet-Explorer.

Diesmal zeigte sich eine neue Updatemeldung, die jedoch genauso nur zur Kaufseite für die vermeintliche “Antivieren-Software” führt.

Nach dem Neustart des Systems, das sollten Sie bei einem infizierten System möglichst nicht durchführen, ruft der Trojaner, hier “w32topll.exe”, das Systemprogramm “ipconfig.exe” auf um vermutlich die Netzwerkverbindungsdaten abzufragen.

Nach dem Abschießen der “System Tool 2011” findet SysInternals AutoRuns die Starteinträge der “System Tool 2011” und des Trojaners. Hier brauche Sie nur die Häkchen aus der Box, durch anklicken, entfernen. Nun werden diese Programme beim Start des Systems nicht mehr ausgeführt und können gelöscht werden.

Der GridinSoft Trojan Killer enttäuschte vollends, er fand zwar das im Verzeichnis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” befindliche “System Tool 2011” und seine Verknüpfung auf dem Desktop und ein paar Registry-Einträge zur Programmdeinstallation, jedoch nicht die Start-Einträge dieser Datei in der Registry. Bei der suche nach dem Trojaner versagte das Tool komplett, denn es fand dien versteckte Datei “w32topll.exe” nicht und keinen Eintrag in der Registry. Schade! Daumen runter

Beim Stöbern fand ich sogar einen Eintrag zur Deinstallation von “System Tool 2011” in der Systemsteuerung, leider lässt sich das Programm so nicht entfernen.

Den Wurm aus dem System entfernen

Ich übernehme keinerlei Haftung wenn bei Ihnen aus mir unbekannten Gründen die Desinfektion nicht funktioniert. Der sicherste Weg um die Infektion eines Systems zu beseitigen ist immer die Neuinstallation des Systems, aber nicht unbedingt zwingend notwendig.

Nach dem Erkennen der Infektion beachten Sie bitte folgende Maßregeln:

Keinerlei Update der vermeintlichen Antiviren Software zulassen!
LAN-Kabel rausziehen oder WLAN abschalten!
Rechner sofort ausschalten!
Rechner bis zur Viren-Bekämpfung nicht mehr Einschalten!
Diese Maßnahmen allen Familienmitgliedern kund tun!

Zum Entfernen gehen Sie wie folgt vor:

Prozess der “System Tool 2011”, hier “b0eEl01804.exe”, mit dem System Explorer von SysInternals abschießen, vorher “procexp.exe” in “iexplore.exe” umbenennen.
Mit SysInternals AutoRuns den Start der beiden Virenprogramme, hier “b0eEl01804.exe” und “w32topll.exe” unterbinden.
Kontrollieren ob an folgenden Orten Spuren hinterlassen wurden und diese ggf. beseitigen
```
%windir%\temp\scse.tmp
%windir%\temp\scsf.tmp
c:\documents and settings\administratorxplore.exe
```
Die Datei “hosts” im Verzeichnis “<system folder>\drivers\etc\” putzen.
System neu starten und die Dateien des “System Tool 2011” und den Trojaner händisch löschen.

Nun wäre ein guter Moment, um eine aktuelle und vor allem echte Anti-Viren-Software zu installieren. Denken Sie bitte ebenfalls darüber nach, ob Sie auch zukünftig als Administrator im Netz surfen wollen? Nutzen Sie diese Change.

Viel Erfolg bei der Würmer-Jagd.

7. Februar 2011

Der Wurm “System Tool 2011” Teil 2 – Aus einem Benutzer Account entfernen

ACHTUNG! Bei “System Tool 2011” handelt es sich nicht um ein Anti-Viren-Tool sondern um einen Computerwurm.

In diesem Post beschreibe ich, wie ich den Virus aus einem normalen Benutzer-Account (ohne administrative Berechtigungen) entferne. Der Benutzer hatte die Sicherheitsmaßnahmen, wie in “Der Wurm ‘’System Tool 2011’’ Teil 1 – Eine Einführung” beschrieben, eingehalten.

Ich übernehme keinerlei Haftung wenn bei Ihnen aus mir unbekannten Gründen die Desinfektion nicht funktioniert. Der sicherste Weg um die Infektion eines Systems zu beseitigen ist immer die Neuinstallation des Systems, aber nicht immer zwingend notwendig.

Die Folgenden Maßregeln galt es nach dem Bemerken der Infektion einzuhalten, bis der Virenbekämpfer kommt:

Keinerlei Update der vermeintlichen Antiviren Software zulassen!
LAN-Kabel rausziehen oder WLAN abschalten!
Rechner sofort ausschalten!
Rechner bis zur Virenbekämpfung nicht mehr Einschalten!
Diese Maßnahmen allen Familienmitgliedern kund tun!

Folgende Utilities lud ich auf einen nicht kompromittierten Computer herunter und entpackte die Software bzw. installierte sie. Danach kopierte ich die Unterverzeichnisse auf einen USB Stick.

Der SysInternals Process Explorer muss nur entpackt und beim ersten Start die Lizenzbestimmungen akzeptiert werden. Er ist portabel einsetzbar. SysInternals war eine kleine aber feine Firma, die unter anderem freie Systemtools programmierte. Sie wurde 2006 von Microsoft erworben und in das Unternehmen integriert. Sie wird mit ähnlichen Zielsetzungen weitergeführt und ich nutze die Tools gern.

Der GridinSoft Trojan Killer muss installiert und sollte auf dem Installations-System mindestens einmal ausgeführt werden, damit er im aktuellen Zustand ist. Bei der Software handelt es sich um TrialWare. In der unlizenzierten Version zeigt er die Schadsoftware an, beseitigt sie jedoch nur innerhalb der 15-tägigen Testzeit. Danach müssen Sie die Schädlinge manuell löschen oder die Vollversion kaufen.

Nach dem Start des mit den “System Tool 2011” befallenen Rechners zeigt sich folgendes martialische Bild.

Der Versuch, alle laufenden Programme mit Hilfe des Taskmanagers anzeigen zu lassen scheitert, da das “System Tool 2011” das Programm als potentiell infiziert meldet und die Ausführung verhindert.

Aus Recherchen und eigenen Erfahrung kenne ich den Speicherort des “System Tool 2011”. I.d.R. befindet sich die Datei unter “Lw:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Name”. Wobei der Name immer eine zufällige Folge von Zahlen und Buchstaben ist, hier befindet es sich im Verzeichnis “cDiFk01804”.

Nachdem Sie nun wissen, wo sich das “System Tool 2011” befindet, werden Sie denken, da lösche ich es schnell. Geht leider nicht, solange das “System Tool 2011” noch ausgeführt wird.

Eine wichtige Information, die das Reinigen eines mit dem “System Tool 2011” befallenen Systems erleichtert, ist die Kenntnis, dass die Ausführung des Internet Explorers und des Dateiexplorers nicht blockiert wird. Also werden die Dateinamen “explorer.exe” und “iexplore.exe” nicht durch das “System Tool 2011” behindert. Sie werden gebraucht um die vermeintliche Antivirensoftware zu kaufen.

Zuerst starte ich den Systernals Prozess Explorer, nachdem ich ihn in “iexplore.exe” umbenannt habe. Unter seinem tatsächlichen Namen würde er vom Das “System Tool 2011” blockiert werden! Bitte bestätigen Sie die Lizenz Bedingungen mit “Agree”.

Nun öffnet sich der Systernals Prozess Explorer alias “iexplore.exe”. “System Tool 2011” erkennen Sie gut an dem Symbol in Form eines Vorhängeschlosses und klicken den Task nun mit der rechten Maustaste an und wählen aus dem Kontextmenü “Kill Process”. Damit beenden Sie den Bösewicht. Die Abfrage bezüglich des Killens des Programmes können Sie mit “Ok” bestätigen. Danach verschwindet das Programmsymbol aus der Taskleiste. Sie können den Prozess Explorer beenden.

Nun müssen wir die Spuren des “System Tool 2011” im System aufspüren und beseitigen. Dazu benutzen wir die zuvor erstellte und aktualisierte “portable” Installation des GridinSoft Trojan Killer. Das Programm nennt sich “trojankiller.exe”

Bestätigen Sie den Dialog zur Ausprobierzeit/Trialperiode mit “Continue”. Wählen Sie dann “Scan” und “Standard Scan”. Jedes mal, wenn der GridinSoft Trojan Killer einen gefährlichen Eintrag im System findet, sendet er ein akustisches Signal aus. Der Scan wird je nach Größe Ihrer Festplatten mehr oder weniger Zeit beanspruchen.

Das Programm meldet sich mit einer Liste der bedrohlichen Dateien. Markieren Sie alle Einträge und lassen Sie sie durch den GridinSoft Trojan Killer beseitigen. Bestätigen Sie das folgende Dialogfenster mit OK.

Sollten Sie den GridinSoft Trojan Killer schon einmal auf Ihrem System ausprobiert haben, dann ist die Ausprobierzeit/Trialperiode abgelaufen und Sie müssen die Schadsoftware manuell löschen.

Sie können zur Sicherheit Ihr System danach nochmals scannen lassen.

Starten Sie nun Ihren Rechner neu und melden Sie sich an. Ihr Rechner sollte “System Tool 2011”-frei sein.

Nun wäre ein guter Moment, um eine aktuelle und vor allem echte Anti-Viren-Software zu installieren. Nutzen Sie diese Change.

21. Januar 2011

Der Wurm “System Tool 2011” Teil 1 – Eine Einführung

ACHTUNG! Bei “System Tool 2011” handelt es sich nicht um ein Anti-Viren-Tool sondern um einen Computerwurm.

Ein Computerwurm ist ein Computerprogramm, welches sich selbst vervielfältigen kann, sofern es einmal ausgeführt wurde. Der Wurm verbreitet sich jedoch ohne andere Dateien oder ggf. Bootsektoren mit seinem Code zu infizieren. Ggf. kopiert er weiteren Schadcode in Ihr System und/oder installiert Trojaner.

In dieser Reihe zeige ich Ihnen wie Sie ihn entfernen können, sofern Sie meine Hinweise beachtet haben. Denn i.R. werden Sie die Antwort erhalten, dass Sie Ihr System “platt machen” müssen. Also Daten retten und dann die Festplatte löschen und das System neu aufspielen. Das wäre der sicherste Weg.

Letzte Woche bekam ich einen aufgeregten Anruf von einem ehemaligen Schüler, der sich beim Surfen den “System Tool 2011” Virus eingefangen hatte. Da ich prinzipiell daran interessiert bin meine “Waffen” für solche Fälle zu “schärfen”, sagte ich ihm schnelle Hilfe zu und bat ihn an dem ohnehin nicht mehr verwendbaren Rechner folgende Maßnahmen vorzunehmen.

Keinerlei Update der vermeintlichen Antiviren Software zulassen!
LAN-Kabel rausziehen oder WLAN abschalten!
Rechner sofort ausschalten!
Rechner bis zur Virenbekämpfung nicht mehr Einschalten!
Diese Maßnahmen allen Familienmitgliedern kund tun!

Glücklicherweise hatte er einen weiteren guten Rat von mir befolgt, so dass der Virus sich nicht tief in sein System einnisten konnte. Mein Schüler arbeitet mit einem normalen Benutzer Account ohne administrative Berechtigungen.

Als ich den Rechner dann hochfuhr, bot sich mir folgendes martialische Bild. Glücklicherweise hatte sich der Wurm nur im Account meines Schülers verbreitet. Weder seine Frau, noch seine Tochter waren betroffen. Cooles Smiley

Widerstehen Sie dem Hinweis, das letzte Update für die Microsoft Sicherheitssoftware zu installieren, diese Meldung generiert der “System Tool 2011” Virus.

Ein Versuch den Taskmanager mit <STRG><ALT><ENTF> bzw. rechte Maustaste auf die Taskleiste klicken zu starten brachte nur die Meldung hervor, dass taskmgr.exe infiziert wäre. Als Virus wurde “Spyware.IEMonster” gefunden.

Wer jetzt glaubt, dass man sich den “System Tool 2011” Virus nur einfangen kann, wenn man sich auf bösen Internetseiten herum treibt und keinen Virenscanner verwendet, der irrt. Bei meinem Schüler liefen die Microsoft Security Essentials in der v1.x, leider hatte er sich um die Updates seines Virenscanners keine großen Gedanken gemacht. Aktuell ist die Version 2.x und die erkennt den Schädling und legt auch ein besseres Updateverhalten an den Tag, d.h. die MSE führen ein Update durch, wenn dieses erforderlich ist. Bei der älteren Version musste das Update manuell oder über einen Task durchgeführt werden.

Das Update auf die Microsoft Security Essentials v2.x finden Sie hier.

Die Microsoft Security Essentials sind auch für Kleinunternehmen mit bis zu zehn PCs verfügbar und dürfen dort legal kommerziell eingesetzt werden.

Mein Schüler hatte keine verfänglichen Seiten angesurft. Zumindest habe ich in der LOG der am Infektionstag aufgesuchten Seiten nichts Verfängliches erkennen können.

Sie können sich den Wurm von einer vermeintlich normalen, aber kompromittierten Seite, oder über kompromittierte Werbebanner im Netz einfangen.

Im nächsten Post beschreibe ich, wie der Virus entfernt wird, sofern es sich um einen normalen Benutzer-Account ohne administrative Berechtigungen handelt.

Zu den Zeitgenossen, die mit einem Administratoren-Account surfen, denen ist eigentlich nicht zu helfen, komme ich in einem späteren Post.

19. Januar 2011

Kategorie: Viren